3. Introduction (2)
Copyright 2016 Lexing ® 3
Double constat sur la sécurité des SI de santé :
Clivage entre environnement HDS et autre ;
Foisonnement de normes et difficile application par les ES.
Erreur
humaine ou
informatique
Malveillance
externe
Atteintes à un SI de santé
4. Plan
1. Mise en conformité
2. Actions prioritaires en cas
d’atteinte SI
3. Responsabilité des ES
Copyright 2016 Lexing ® 4
5. 1. Mise en conformité (1)
Copyright 2016 Lexing ® 5
• Préparation à
l’auditabilité du SI
• Audit du SI
Etat des lieux
• Cartographie des
exigences à
implémenter
Schéma directeur
des exigences
technico-
juridiques
• Structure du SI
• Spécifications
fonctionnelles et
techniques
Dossier
d’implémentation
des exigences
Temps
Budget Risque
Objectif : engager des mesures de mise en conformité au niveau de l’ES / GHT
Instruction du 14 octobre 2016 : Plan d’action SSI
6. 1. Mise en conformité (2)
Copyright 2016 Lexing ® 6
Certifications
Certification HAS
Programme Hôpital
numérique
Perspectives
Label Cnil / Certification
et label RGPD
Pack de conformité Cnil /
Code de conduite RGPD
TransitionversGHT
7. 1. Mise en conformité (3)
Stratégie d’atténuation
du risque
Copyright 2016 Lexing ® 7
Loi pour la
République
numérique
Prise en compte par
la Cnil des mesures
prises
Décision
Cnil
Orange
2014
Obligation de
sécurité et de
confidentialité est
une obligation de
moyens
RGPD
Principe de protection des
données dès la conception et
par défaut
Analyse d’impact préalable
Désignation d’un DPO
8. 2. Actions prioritaires en cas d’atteinte SI
Copyright 2016 Lexing ® 8
Cellule de crise
Mesures techniques
immédiates (plan de
reprise d’activité,
plan de continuité,
etc.)
Notification Cnil
Notification
patient
Notification
ARS
Plainte, le cas
échéant
Faille de sécurité, perte de
données, attaque, etc.
9. 3. Responsabilité des ES
Copyright 2016 Lexing ® 9
Autorités
•CNIL
•3.000.000 € amende
•10.000.000 € amende ou 2% CA
annuel, à compter du 25 mai 2018
•HAS
•Retrait certification
•ARS
•Modulation des financements
•ASIP Santé
•PGSSI-S ?
•Possibilité de se retourner contre
l’éditeur logiciel ou prestataire
informatique : intégrer dans les
contrats la conformité à la PGSSI-
S
Responsabilité civile
•Dommages et intérêts pour le
patient (responsabilité délictuelle)
•Action de groupe
Responsabilité pénale
•1.500.000 € amende (pers. morale)
/ 5 ans + 300.000 € amende (pers.
physique) – défaut de sécurité
•75.000 € amende (pers. morale) / 1
an + 15.000 € d’amende (pers.
physique) – violation secret médical
•Responsabilité pénale du directeur
et du délégué en cas de délégation
de pouvoirs
En cas d’atteinte SI ou de contrôle
11. Qui sommes-nous ?
Copyright 2016 Lexing ® 11
Le premier réseau international d’avocats dédié au droit des technologies avancées
Le cabinet est distingué Law Firm
of the Year pour l’année 2017 dans la
catégorie Technologies de
l’Information pour la France par la
revue américaine Best Lawyers. Cette
distinction fait suite à la désignation
d’Alain Bensoussan comme Lawyer of
the Year de 2011 à 2015 dans les
catégories Nouvelles Technologies et
Droit des Technologies.
Le cabinet est à nouveau le
gagnant exclusif du Client Choice
Awards 2016 dans la catégorie IT
& Internet pour la France parmi
plus de 2500 candidats
sélectionnés au niveau
international par l’International
Law Office (ILO), Lexology, et les
membres de l’Association of
Corporate Counsel.
Le cabinet
Alain Bensoussan-Avocats a,
pour la 4e année consécutive, obtenu le
1er prix (Trophée d’or) du Palmarès de
cabinets d’avocats 2016 dans la catégorie
Technologies de l’information / Médias /
Télécommunications, organisé par Le
Monde du Droit en partenariat avec
l’Association Française des Juristes
d’Entreprise (AFJE).
Après avoir obtenu les labels
Cnil « Lexing® formation
informatique et libertés » pour
son catalogue de formations
informatique et libertés et
« Lexing® audit informatique et
libertés » pour sa procédure
d’audit, le cabinet a obtenu le
label « Gouvernance »